spring - spring-securityはhttpセッションを無効にしない

Question

SOAP Web サービスがあり、春のセキュリティ認証を実装しました。

フロントエンドで使用されるクライアントを生成しました。

私の問題は、クライアントがリクエストを行うたびに Web サービスがセッションを生成し、セッションがそこにとどまるよりも、セッションが無効にならないことです。

ここに web.xml ファイルの私の部分があります:

<session-config> <session-timeout>1</session-timeout> </session-config>

私が必要とするのは、各リクエストの後にセッションが無効になることです。

Answer 1

Spring セキュリティ http 要素には、「ステートレス」に設定できる属性「create-session」があり、その後セッションが作成されることはありません。

例えば

<http pattern="/restful/**" create-session="stateless">
  <intercept-url pattern='/**' access='ROLE_REMOTE' />
  <http-basic />
</http>

ドキュメントはこちら：

• http://static.springsource.org/spring-security/site/docs/3.2.x/reference/security-filter-chain.html